馬潔　梁楷

摘 要：隨著我廠信息化建設的不斷深入，信息網(wǎng)絡安全已成為信息化高效建設的重要因素。文章針對我廠目前網(wǎng)絡信息架構的特點，系統(tǒng)地分析了網(wǎng)絡安全存在的問題，結合當前國際網(wǎng)絡信息的前沿技術，提出我廠今后信息網(wǎng)絡安全的對策。

關鍵詞：網(wǎng)絡安全；技術措施；安全風險；安全防范

中圖分類號：TP398.1 文獻標識碼：A 文章編號：1006-8937（2015）30-0069-02

1 網(wǎng)絡安全的重要性

網(wǎng)絡安全是一門涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科，是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運行，網(wǎng)絡服務不中斷。具體而言，網(wǎng)絡安全就是保護個人隱私，控制對網(wǎng)絡資源的訪問，保證商業(yè)秘密在網(wǎng)絡上傳輸?shù)谋Ｃ苄浴⑼暾约罢鎸嵭?，控制不健康的內容或危害社會穩(wěn)定的言論，避免機密泄漏等。

2 我廠網(wǎng)絡安全措施

2.1 統(tǒng)一出口，便于管理

將三地的網(wǎng)絡進行了配置更改，兩地間增加了高性能的路由器，建成了企業(yè)內部局域網(wǎng)絡。此局域網(wǎng)的建成就像給企業(yè)網(wǎng)絡系統(tǒng)安裝了一個“保護殼”，使企業(yè)內部網(wǎng)絡的使用更加方便、快捷的同時保證了數(shù)據(jù)采集、傳輸?shù)陌踩?，加強了計算機信息和網(wǎng)絡的保密性。

2.2 企業(yè)防火墻，外圍墻

在企業(yè)局域網(wǎng)的統(tǒng)一出口安裝了Internet防火墻，負責管理Internet和企業(yè)內部網(wǎng)絡之間的訪問。在沒有防火墻時，內部網(wǎng)絡上的每個節(jié)點都暴露給Internet上的其它主機，極易受到攻擊。這就意味著內部網(wǎng)絡的安全性要由每一個主機的堅固程度來決定，并且安全性等同于其中最弱的系統(tǒng)。

2.3 生產和辦公物理和虛擬相結合隔離

為了保證生產網(wǎng)的安全穩(wěn)定運行，采取了生產網(wǎng)和辦公網(wǎng)邏輯隔離，兩網(wǎng)通過防火墻相連，高度融合，進一步強化了生產網(wǎng)的安全性。

2.4 病毒掃描評估

通過專業(yè)軟件掃描分析全廠的網(wǎng)絡系統(tǒng)，檢查網(wǎng)絡系統(tǒng)中存在的弱點和漏洞并生成相應的報告，提出修補方法和應實施的安全策略，增強了網(wǎng)絡安全性。

2.5 行為管理

引進了國內先進的“網(wǎng)康”網(wǎng)絡接入管理設備，對企業(yè)網(wǎng)絡進行優(yōu)化管理，實現(xiàn)了對網(wǎng)絡的整體流量分配與控制，加強了網(wǎng)絡數(shù)據(jù)流量分析，優(yōu)化了網(wǎng)絡流量調整工作。

2.6 區(qū)域WLAN的劃分

將企業(yè)辦公、生產區(qū)域網(wǎng)絡用戶按照單位、區(qū)域和樓層等細化管理，通過劃分不同的WLAN，從邏輯上阻隔網(wǎng)段，徹底阻隔廣播域，縮小區(qū)域，減小網(wǎng)絡異常的影響范圍。

3 目前存在的主要問題

3.1 認識上的誤區(qū)

①安裝最新的殺毒軟件就不怕病毒了。安裝殺毒軟件的目的是為了預防病毒的入侵和查殺系統(tǒng)中已感染的計算機病毒，但這并不能保證就沒有病毒入侵了，因為殺毒軟件查殺某一病毒的能力總是滯后于該病毒的出現(xiàn)。

②在每臺計算機上安裝單機版殺毒軟件和網(wǎng)絡版殺毒軟 件等效。網(wǎng)絡版殺毒軟件核心就是集中的網(wǎng)絡防毒系統(tǒng)管理。網(wǎng)絡版殺毒軟件可以在一臺服務器上通過安全中心控制整個網(wǎng)絡的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個網(wǎng)絡的病毒。同時對于整個網(wǎng)絡而言，管理非常方便，對于單機版是不可能做到的。

③不上網(wǎng)就不會中毒。雖然不少病毒是通過網(wǎng)頁傳播的，但像QQ聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會存在著病毒。所以只要計算機開著，就要防范病毒。

④文件設置只讀就可以避免感染病毒。設置只讀只是調用系統(tǒng)的幾個命令，而病毒或黑客程序也可以做到這一點，設置只讀并不能有效防毒，不過在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。

⑤網(wǎng)絡安全主要來自外部?；趦炔康木W(wǎng)絡攻擊更加容易，不需要借助于其他的網(wǎng)絡連接方式，就可以直接在內部網(wǎng)絡中實施攻擊。所以，加強內部網(wǎng)絡安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時帳戶、過期帳戶和權限等方面的管理非常必要。

3.2. 技術上的差距

①操作系統(tǒng)使用盜版。由于習慣問題，部分軟件不兼容原裝系統(tǒng)和覺得正版與盜版都一樣等的一些類似原因導致使用盜版系統(tǒng)占到我廠絕大數(shù)計算機，給全廠網(wǎng)絡安全帶來了嚴重隱患。

②生產電腦防火墻和殺毒軟件無法自動升級。由于辦公網(wǎng)和生產網(wǎng)隔離，生產電腦無法上網(wǎng)，無法自動升級防火墻和殺毒等軟件，以至于在生產電腦上插拔外置移動設備和局域內傳輸文件帶來的安全危險顯得毫無抵抗之力。

③查找故障機困難。由于三地運行，地域廣，人員多，加之入廠機子相關登記信息空白，給查找故障機帶來更多困難，顯得無從下手。

4 進一步的措施

4.1 環(huán)網(wǎng)建設

目前企業(yè)網(wǎng)絡鏈路均為單鏈路。致使網(wǎng)絡鏈路抗風險能力較差，鏈路中斷后恢復時間較長。不能滿足生產管理系統(tǒng)的穩(wěn)定運行需求。為提高網(wǎng)絡鏈路的抗風險能力，計劃在充分利用已建光纜、桿路資源及網(wǎng)絡設備的基礎上，新增傳輸設備，將網(wǎng)絡鏈路構成環(huán)網(wǎng)，當網(wǎng)絡中斷后自動切換至反向鏈路，實現(xiàn)網(wǎng)絡“零中斷”。

4.2 層級改造

我廠分場站網(wǎng)絡節(jié)點，由于之前采用交換機級聯(lián)的方式組網(wǎng)，受到光纜資源的限制，尚有部分網(wǎng)絡級聯(lián)層級達到三級或者更多，隨著網(wǎng)絡的不斷擴展，層級數(shù)過多問題也日益凸顯，現(xiàn)計劃對此類場站進行層級改造。

4.3 基于DHCP和MAC地址動態(tài)綁定的用戶自助接入系 統(tǒng)研究與應用

充分利用現(xiàn)有成熟的DHCP、VPMS和開源Liunx系統(tǒng)的相關技術，實現(xiàn)基于DHCP和MAC地址動態(tài)綁定的網(wǎng)絡用戶自助接入指定網(wǎng)絡，無需安裝客戶端，從而簡化日常IT管理人員負擔和提高網(wǎng)絡管理效率與信息安全水平，基于DHCP和MAC地址動態(tài)綁定的用戶自助接入系統(tǒng)應用，如圖1所示。

4.4 端口封裝，細化管理

結合以上MAC地址綁定和VLAN劃分，通過客戶端連接交換機做端口分裝策略，進一步固定IP地址，防止IP使用混亂，營造一個平穩(wěn)暢通的網(wǎng)絡環(huán)境。

5 結 語

上述論文主要從我廠當前實際的網(wǎng)絡運行狀況，分析了所存在的網(wǎng)絡安全隱患，及采取的一些相應安全措施和下步主要安全工作的同時，也客觀的提出了所面臨的實際困難。最后希望通過本論文的深入研究分析我廠網(wǎng)絡安全的現(xiàn)狀，可以使大家有對網(wǎng)絡安全的重要性有了進一步的了解。

參考文獻：

[1] 董玉格.網(wǎng)絡攻擊與防護-網(wǎng)絡安全與實用防護技術[M].北京：人民郵 電出版社，2002.

[2] 周海剛，肖軍模.一種基于移動代理的入侵檢測系統(tǒng)框架[J].電子科技 大學學報.2003，（6）.

[3] 劉洪斐，王灝，王換招.一個分布式入侵檢測系統(tǒng)模型的設計[J].微機發(fā) 展，2003，（1）.

[4] 呂志軍，黃皓.高速網(wǎng)絡下的分布式實時入侵檢測系統(tǒng)[J].計算機研究 與發(fā)展，2004，（41）.